迅速な悪用シナリオにおいて、BerriAIのLiteLLM Pythonパッケージに新たに開示された重大なセキュリティ脆弱性が、公開から36時間以内に活発に悪用されました。これは、攻撃者が新たに発見された脆弱性を活用する速度が増していることを示しています。 ### 脆弱性の詳細: CVE-2026-42208 CVE-2026-42208（CVSSスコア: 9.3）として追跡されているこの脆弱性は、LiteLLMプロキシデータベースの改変に悪用される可能性のあるSQLインジェクションです。LiteLLMのメンテナーによると、この脆弱性は、プロキシのAPIキーチェック中に使用されるデータベースクエリにおいて、呼び出し元から提供されたキー値が不適切に処理されたことに起因します。 LiteLLMのメンテナーはセキュリティアドバイザリで、「プロキシのAPIキーチェック中に使用されるデータベースクエリは、呼び出し元から提供されたキー値を個別のパラメータとして渡すのではなく、クエリテキストに混入していました」と述べています。 認証されていない攻撃者は、特別に細工されたAuthorizationヘッダーを任意のLLM APIルート（例: POST /chat/completions）に送信することで、プロキシのエラー処理パスを通じて脆弱なクエリをトリガーできます。悪用に成功すると、攻撃者はプロキシのデータベースを読み取り、改変できるようになり、プロキシおよびそれが管理する認証情報への不正アクセスにつながる可能性があります。 ### 影響を受けるバージョン この脆弱性は以下のバージョンに影響します。 * >=1.81.16 * <1.83.7 ### 迅速な悪用 この脆弱性は2026年4月19日にリリースされたバージョン1.83.7-stableで修正されましたが、最初の悪用試行は4月26日に記録されており、GitHubのセキュリティアドバイザリがインデックス化されてから1日強後のことでした。Sysdigによると、SQLインジェクション活動はIPアドレス65.111.27[.]132から発生していました。 Sysdigのセキュリティ研究者であるMichael Clark氏は、悪意のある活動は同じオペレーターによって隣接する2つのエグレスIPを介して行われた2つのフェーズで構成されており、その後、キー管理エンドポイントの短い認証されていないプローブが行われたと指摘しています。 ### 標的となったデータ 攻撃者は特に、「litellm_credentials.credential_values」や「litellm_config」といったデータベーステーブルを標的としており、これらには上流のLLMプロバイダーのキーやプロキシの実行時環境に関連する機密情報が含まれています。「litellm_users」や「litellm_team」のようなテーブルに対するプローブは観察されていません。 これは、機密性の高いシークレットを抽出するための集中的な取り組みを示唆しています。最初の攻撃の直後に観察された2番目のフェーズでは、別のIPアドレス（65.111.25[.]67）からの同様のプローブが含まれていました。 ### サプライチェーンリスク 人気のオープンソースAIゲートウェイソフトウェアであるLiteLLMは、最近TeamPCPハッキンググループによるサプライチェーン攻撃の標的にもなっており、AIインフラストラクチャに関連するリスクをさらに浮き彫りにしています。 Sysdigは、「1つのlitellm_credentialsレコードには、しばしば5桁の月間支出上限を持つOpenAI組織キー、ワークスペース管理者権限を持つAnthropicコンソールキー、およびAWS Bedrock IAM認証情報が含まれています。データベース抽出が成功した場合の被害範囲は、典型的なWebアプリケーションのSQLインジェクションよりもクラウドアカウントの侵害に近いものです」と、潜在的な影響を強調しました。 ### 緩和策 ユーザーは直ちに最新バージョン（1.83.7以降）にアップグレードすることを強く推奨します。一時的な回避策として、メンテナーは「general_settings」の下で「disable_error_logs: true」を設定することで、脆弱なパスを緩和できると推奨しています。 ### 主要なポイント Sysdigは、LiteLLMの脆弱性の迅速な悪用が、AIインフラストラクチャに対する脅威ランドスケープの増大を浮き彫りにしていると結論付けています。特に、クラウドグレードの認証情報を管理するソフトウェアにおいて、認証前の重大な脆弱性が標的となっています。悪用の速度は、プロアクティブなセキュリティ対策と迅速なパッチ適用の必要性を強調しています。